読書の時間: 1 分
Drupalは、攻撃者が影響を受けるシステム上で任意のSQLコマンドを実行する可能性があるアプリケーションプログラムインターフェイス(API)の脆弱性に対処するセキュリティ勧告をリリースしました。 これにより、特権の昇格や任意のPHPの実行など、さまざまな攻撃が行われる可能性があります。
w3techs.comによると、DrupalはWebサイトで使用されるXNUMX番目に人気のあるコンテンツ管理システムです。
Drupalの重大なバグは簡単に悪用される可能性があり、7より前のすべてのDrupalコア7.32.xバージョンに影響を与えます。 Drupalによると、この脆弱性は攻撃者がアカウントを必要とせずに、またはアカウント所有者の機密情報と資格情報を取得する必要なしにエクスプロイトを作成する方法を提供します。
皮肉な例として、データベースに対して実行されたクエリを確実にサニタイズしてSQLインジェクション攻撃を防ぐために使用されるデータベース抽象化APIに脆弱性が導入されました。
Drupalセキュリティチームは、これをDrupalバージョン7で導入された非常に重要なSQLインジェクションバグと呼んでいますが、バージョン7.32ですでに修正されており、利用可能になっていると報告しています。 このバグはハッカーによって悪用されていることが確認されています。
Drupalサイトを管理している管理者は、できるだけ早く最新バージョンにアップグレードすることをお勧めします。